Muestreo de eventos de detección

Se admite en los siguientes sistemas operativos:

Las detecciones de las reglas de varios eventos contienen muestras de eventos, que proporcionan contexto sobre los eventos que activaron la alerta. Hay un límite de hasta 10 muestras de eventos para cada variable de evento definida en la regla. Por ejemplo, si una regla define 2 variables de evento, cada detección puede tener hasta 20 muestras de eventos. El límite se aplica a cada variable del evento por separado. Si una variable de evento tiene 2 eventos aplicables en esta detección y la otra variable de evento tiene 10 eventos aplicables, la detección resultante contiene 12 muestras de eventos (2 + 10).

Las muestras de eventos que superen el límite se omitirán de la detección.

Si deseas obtener más información sobre los eventos que causaron la detección, puedes usar agregaciones en la sección de resultados para generar información adicional en la detección.

Si ves las detecciones en la IU, puedes descargar todas las muestras de eventos para una detección. Para obtener más información, consulta Eventos de descarga.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.